Електронну пошту Ethereum Foundation зламано з метою просування фальшивого фішингового шахрайства зі ставками Lido

Згідно з повідомленням у блозі фонду від 2 липня, 23 червня обліковий запис електронної пошти Ethereum Foundation було зламано та використано для просування фішингу. Фонд відновив обліковий запис, і шкідливі листи більше не розсилаються.

Відповідно до допису, 35 794 шахрайських електронних листи було надіслано передплатникам фонду та іншим особам за допомогою його офіційної електронної адреси updates@blog.ethereum.org. Розслідування фонду привело до висновку, що жертви атаки не втратили криптовалюту. Проте зловмиснику могли розкрити електронні адреси 81 абонента.

Електронні листи містили фальшиве оголошення про те, що Ethereum Foundation співпрацює з децентралізованою автономною організацією Lido (LidoDAO), щоб запропонувати 6,8% прибутку на депозити ефіру (stETH), обернутого ефіру (WETH) або ефіру (ETH). Підписникам було сказано, що стейкинг буде «захищений і перевірений The Ethereum Foundation».

Користувачі, які натиснули кнопку «Почати ставку» в електронному листі, були спрямовані до шкідливої ​​веб-програми, яка рекламувала себе як «Staking Launchpad». Натискання кнопки «Ставка» в цій програмі надсилає транзакцію на гаманець користувача. Якби користувач схвалив цю транзакцію, «його гаманець був би виснажений», — йдеться в дописі.

Коли зловмисні електронні листи були виявлені, фонд відповів, заблокувавши зловмиснику надсилати нові листи. Це також «закрило шлях зловмисного доступу, який використовував зловмисник для отримання доступу до постачальника списку розсилки», гарантуючи, що зловмисник більше не зможе отримати доступ до електронної адреси. Він розсилав сповіщення до різних чорних списків, постачальників гаманців Web3 і Cloudfare, щоб користувачі могли отримувати попередження, якщо вони намагалися перейти на шкідливий сайт.

Після подальшого розслідування Ethereum Foundation виявив, що зловмисник завантажив базу даних, що містить нові адреси електронної пошти, які не входили до списку передплатників Ethereum Foundation, що означає, що деякі користувачі, яких не було в списку, могли все ж отримати шахрайські електронні листи. Крім того, зловмисник «експортував адреси електронної пошти зі списку розсилки блогу, а це загалом було 3759 електронних адрес».

Фонд спробував визначити, чи отримав зловмисник нові електронні адреси за допомогою експлойту. Було виявлено, що «список розсилки блогу містив 81 адресу електронної пошти, про які зловмисник раніше не знав, а решта були дублікатами адрес».

За темою: Екосистема TON переповнена фішинговими атаками, попереджає SlowMist

На щастя, зловмисник, схоже, не отримав від атаки здобич криптовалюти. У фонді заявили:

«Аналіз транзакцій у ланцюжку, здійснених із зловмисником між тим, як вони розіслали електронну пошту та моментом, коли зловмисний домен було заблоковано, показує, що жодна жертва не втратила кошти під час цієї конкретної кампанії, надісланої зловмисником».

Фішингові кампанії є поширеним способом втрати коштів користувачами криптовалюти.23 червня учасник MakerDAO втратив 11 мільйонів доларів після кількох помилкових схвалень токенів, ймовірно, після взаємодії з підробленим веб-додатком.26 червня маркетингова адреса електронної пошти блокчейн-мережі Hadera Hashgraph також була зламана для розсилки шахрайських електронних листів.